gpt4 book ai didi

security - 通过电子邮件从任何地址接受图像文件。

转载 作者:行者123 更新时间:2023-12-04 05:32:03 26 4
gpt4 key购买 nike

我正在尝试构建一项服务,任何人都可以从电子邮件地址/客户端发送图像文件并进行处理。想想服务有点像 Flickr 显示 通过电子邮件发送的仪表板中的图像

从可用性的角度来看,这个机制提供了很大的优势,但我想了解 这种行为的安全后果 .一些担忧是:

  • 我需要将所有这些文件验证为图像
  • 人们可能会发送带有漏洞利用/代码的文件,
    成为问题。但就我而言,我主要是要打开一个文件并
    保存并让浏览器显示图像

  • 我在这里采取了正确的方法吗?我应该承担严重的后果吗?

    最佳答案

    你应该做和考虑的事情。

  • 确保您的邮件服务器已配置为进行病毒扫描,并保持最新状态。这将是第一道防线。
  • 当电子邮件进来时,尝试在已知的坚如磐石的库中处理图像。
  • 请注意,许多电子邮件包含多张图片,其中一些可能与他们发送的那张完全没有关系。例如,我们公司的电子邮件都在底部包含我们的 Logo 。我不确定这里的解决方案是什么,但您需要考虑一下。
  • 不同的电子邮件客户端处理图像附件的方式不同。有时它是一种正常的依恋,有时它是嵌入 body 的。即使在同一个客户端中,图像的处理方式也可能不同,具体取决于他们将电子邮件作为带有附件的纯文本还是 HTML 邮件发送。
  • 人们会测试你的系统。他们会发送 .js 文件,他们会发送标题被劫持的图像以溢出您的图像处理库...
  • 考虑强制执行某些电子邮件限制,例如 SPF checks .
  • 准备好接收绝对巨大的图像。今天的相机拍摄非常大的照片,很多人不知道裁剪或调整大小是什么意思。您可以考虑将每封进入服务器的电子邮件设置为 15MB 或更大的上限。然后,结合上面的#2,将图像自动调整到更容易接受的程度。
  • 确定您实际要用于通知用户任何问题的机制。请记住,此机制可能会被滥用。例如,考虑发送到您的机器的垃圾邮件,其中回复 header 发送给受害者。

  • 如果您使用的是 .net,请参阅以下内容以了解确认文件是图像的可能方法: How can I determine if a file is an image file in .NET?

    关于security - 通过电子邮件从任何地址接受图像文件。,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15260164/

    26 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com